Které DNS záznamy monitor sleduje?

Ve výchozím nastavení A, AAAA, MX, NS, TXT a CNAME. Monitor pořizuje snapshot rozřešených hodnot při každé kontrole a upozorňuje, pokud se některá změní — přidána, odstraněna, modifikována.

Proč monitorovat DNS – není můj DNS poskytovatel spolehlivý?

Spolehlivost není problém — změna ano. Převzetí DNS, neúmyslné změny při migracích, externí CDN rotující IP a kompromitace účtů registrátorů — vše se projeví změnou záznamů. Sledování DNS to zachytí v řádu minut místo dnů.

Jak si monitor poradí s cacheováním TTL?

Dotazy jsou prováděny přímo na autoritativní nameservery (ne na váš lokální resolver), takže TTL cache nezakryje změny. Každá kontrola dělá čerstvý autoritativní dotaz — pokud je záznam u zdroje změněn, monitor to při další kontrole zjistí.

Mohu sledovat stav ověření DNSSEC?

Ano. Monitor zaznamenává stav DNSSEC (podepsáno / nepodepsáno) při každé kontrole a upozorňuje na změny. Doména, která byla včera DNSSEC-podepsaná a dnes hlásí nepodepsanou, je bezpečnostní incident, který vyžaduje okamžité prověření.

Dostanu falešně pozitivní upozornění kvůli DNS load balancingu?

Pokud váš A záznam vrací více rotujících IP, monitor při každé kontrole detekuje "změnu". Pro potlačení nastavte expected-values tak, aby obsahoval všechny možné IP, nebo vypněte sledování A záznamu u této domény a spoléhejte se pouze na HTTP kontrolu pro dostupnost.

DNS Monitoring — zjistěte změny záznamů a únosy

DNS záznamy, které se mění bez vašeho vědomí, jsou buď chybně nastavené, nebo únosené. Obojí je špatné. Sledujte je.

DNS je základ - a nejjednodušší věc na pokazení

DNS leží pod vším ostatním: každý webový požadavek, každý e-mail, každé volání API začíná DNS look-upem. Díky tomu jsou tiché změny DNS záznamů jedním z nejčastěji zneužívaných útoků - a také jednou z nejjednodušších chyb, které může udělat nedbalý člen týmu. Změna DNS může přesměrovat vaši doménu na phishingovou kopii vašeho webu, přeroutovat poštu přes server útočníka, vyřadit vás z výsledků vyhledávání nebo pokazit celý stack překlepem. Většinou není škoda způsobená DNS ani úmyslná; jde o rutinní změnu v ops, kterou někdo udělal, aniž by to někomu řekl, a která rozbila něco downstream.

Sledování DNS zachytává tyto změny pořizováním snapshotu vašich záznamů při každé kontrole a porovnáním s předchozím stavem. Pokud cokoliv sledovaného bylo přidáno nebo odstraněno od poslední kontroly, dostanete upozornění. Ať už jde o plánovanou změnu, na kterou jste zapomněli upozornit, konfigurační chybu nebo skutečný hijack – dozvíte se to během pár hodin.

Které záznamy jsou sledovány

Pro každý HTTP monitor hlubší denní kontrola získává tyto typy záznamů:

A a AAAA: IPv4 a IPv6 adresy, na které se hostname překládá. Změna – provoz jde jinam, úmyslně nebo protože někdo převzal kontrolu nad vaším registrátorem.
MX: mail exchangers. Nový MX záznam (nebo hůř, chybějící) znamená, že se pošta začala routovat jinam. Tichá ztráta e-mailů je jeden z nejhorších scénářů pro byznys.
NS: nameservery. Změna – někdo přemístil vaši DNS zónu k jinému poskytovateli – nejzásadnější změna, kterou lze s doménou udělat. Změny NS jsou téměř vždy buď plánovanou migrací, nebo úspěšným útokem na registrátora.
TXT: libovolné textové záznamy, často používané pro ověření domény (Google, Microsoft, Stripe atd.) a pro SPF/DKIM/DMARC.
SPF, DMARC, CAA: speciální bezpečnostní záznamy pro e-mail a vydávání certifikátů. Změna v CAA může útočníkovi umožnit získat TLS certifikát pro vaši doménu.

Dashboard zobrazuje veškeré aktuální záznamy v rozšířeném pohledu monitoru, takže na první pohled vidíte, co je aktuálně publikováno.

Detekce změn

Monitor uchovává snapshot záznamů A, AAAA, MX a NS pro každý monitor. Při každé hlubší kontrole jsou aktuální záznamy porovnávány se snapshotem. Záznamy, které zmizely, jsou označeny jako "odstraněno", nové jako "přidáno". Oba seznamy jsou zahrnuty v reportu změn.

Pokud se nějaká část sledovaných záznamů změní, jde upozornění na zapnuté notifikační kanály. Oznámení pojmenuje typ změněného záznamu a přesně vypíše, co bylo přidáno a co odstraněno. Místo "DNS změněno pro example.com" dostanete "MX pro example.com: odstraněno mail.oldhost.com, přidáno mail-1.attacker.com" – takže situaci pochopíte ihned.

Můžete samostatně vypnout upozornění na změny DNS bez ovlivnění ostatních notifikací, například v případě plánované migrace, která by generovala velké množství zpráv. Vypněte je, udělejte migraci, zapněte zase po stabilizaci.

Proč to zachytí věci, které jiné nástroje přehlédnou

Většina uptime nástrojů zachází s DNS jako s instalační rutinou – použije jej k rozluštění URL a dál se o něj nezajímá. Jenže v momentě, kdy konkurent (nebo útočník, nebo páteční gremlin deploymentu) změní vaše DNS, začne rozlišení ukazovat na jiné IP, a HTTP-only monitor dál hlásí zeleně, protože nové IP také vrací 200. Bez monitoringu na úrovni DNS je změna neviditelná, dokud někdo nekontroluje ručně. Pak ale můžou chybět dny e-mailů nebo třeba týdny pozic ve vyhledávačích.

Sledování DNS zachycuje i problémy u samotného DNS poskytovatele. Někteří poskytovatelé občas ztrácí nebo pomíchají záznamy během aktualizací zóny; někteří mají regionální výpadky, kdy dotazy z jedné lokality vrací jiné výsledky než z druhé. Porovnání snapshotů tyto nestability odhalí.

Konfigurace

Sledování DNS je automatické pro každý HTTP/keyword/API monitor. První hlubší kontrola (během 24 h od přidání monitoru) uloží základní snapshot – upozornění není posláno napoprvé, pouze pokud se při dalších kontrolách stav liší. Pro zapnutí/vypnutí notifikací o změnách DNS přepněte "Upozornit na změny DNS" v sekci Předvolby v Notifikacích. Rozšířený pohled libovolného monitoru vždy zobrazuje plný aktuální stav DNS, včetně SPF, DMARC a CAA, které nejsou sledované na změnu, ale jsou užitečné ke periodické kontrole.

Nejčastější dotazy

Které DNS záznamy monitor sleduje?
Ve výchozím nastavení A, AAAA, MX, NS, TXT a CNAME. Monitor pořizuje snapshot rozřešených hodnot při každé kontrole a upozorňuje, pokud se některá změní – přidána, odstraněna, modifikována.
Proč monitorovat DNS – není můj DNS poskytovatel spolehlivý?
Spolehlivost není problém – změna ano. Převzetí DNS, neúmyslné změny při migracích, externí CDN rotující IP a kompromitace účtů registrátorů – vše se projeví změnou záznamů. Sledování DNS to zachytí v řádu minut místo dnů.
Jak si monitor poradí s cacheováním TTL?
Dotazy jsou prováděny přímo na autoritativní nameservery (ne na váš lokální resolver), takže TTL cache nezakryje změny. Každá kontrola dělá čerstvý autoritativní dotaz – pokud je záznam u zdroje změněn, monitor to při další kontrole zjistí.
Mohu sledovat stav ověření DNSSEC?
Ano. Monitor zaznamenává stav DNSSEC (podepsáno / nepodepsáno) při každé kontrole a upozorňuje na změny. Doména, která byla včera DNSSEC-podepsaná a dnes hlásí nepodepsanou, je bezpečnostní incident, který vyžaduje okamžité prověření.
Dostanu falešně pozitivní upozornění kvůli DNS load balancingu?
Pokud váš A záznam vrací více rotujících IP, monitor při každé kontrole detekuje "změnu". Pro potlačení nastavte expected-values tak, aby obsahoval všechny možné IP, nebo vypněte sledování A záznamu u této domény a spoléhejte se pouze na HTTP kontrolu pro dostupnost.

DNS Monitoring